Кибермошенники активно изучают новые методы атаки пользователей интернет-банков, а также платежных карт. “Оружие”, используемое для этого, давно известно — фишинговые сайты, скимминг, а также компьютерные вирусы. Правда, различается тактика его применения и технические новшества, используемые в процессе таких неправомерных действий. А атаке подвергаются не только частные пользователи, но и коммерческие компании.
Атака на банки
Наиболее интересный объект для атаки со стороны электронных кибервзломщиков — юридические лица, использующие систему дистанционного банковского обслуживания. “Частники” мошенников часто не интересуют — их остатки по счетам обычно невелики. Конечно, отдельные счета весьма обеспеченных граждан атаке подвергаются — но по конкретной наводке.
В начале октября выяснилось, что существует вирус, “заточенный” под атаку клиентов двух крупных систем электронного самообслуживания — “Альфа-банка” и ВТБ24. Речь идет о вирусах Trojan.Hosts.1581 (в классификации компании Dr.Web) и Trojan.Win32.Qhost (в классификации “Лаборатории Касперского”). Задача вируса — используя уязвимости в защите компьютера пользователя перенаправить его на фишинговый сайт, внешне идентичный оригиналу. На подставном сайте мошенники запрашивают у клиента ввод логина, пароля и нескольких переменных кодов, поле чего входят в систему от имени клиента и снимают деньги, подтверждая операции полученными переменными кодами. Угроза настолько реальна, что на сайте “Системы Телебанк” появилось специальное предупреждение о том, что “в случае неправильного ввода переменного кода не вводить код со следующим порядковым номером. Если первая попытка входа в систему не удалась, при каждой повторной попытке входа система должна запросить переменный код с тем же номером, что и при первой попытке”. Кроме того, клиентов призывают “не вводить номер вашей банковской карты и ее CVC/CVV-код. Система никогда не запрашивает эти данные”, а также предлагают убедиться, что “установлено безопасное соединение с сайтом системы (в случае входа с помощью защищенного соединения), т. е. адресная строка начинается с https://”.
Кроме того, есть и другие критерии для того, чтобы распознать подделку, — уверен директор департамента управления рисками компании Chronopay Сергей Иванов. “Очень возможны небрежности в дизайне страницы — к примеру, “смазанные” или плохо прорисованные графические элементы, банальные ошибки в орфографии, неточное размещение информационных блоков к пользовательском интерфейсе. Помимо этого, эксплуатируются уязвимости в браузере (в основном, в Internet Explorer — М. Б.). К примеру, в нормальном режиме если мы подводим курсор мыши на ссылку, то внизу отображается ее путь. В случае с фишинговыми сайтами путь будет вести на сайт мошенников, а отображаться все будет вроде бы как у настоящей системы оплаты, — уточняет он. — Аналогичная подстановка может осуществляться и с адресной строкой браузера. Кроме того, домен, на который осуществляется “переброска” пользователя, при его готовности ввести данные своей пластиковой карты, может представлять собой имитацию “правильной” системы — к примеру, вместо assist.ru там будет a-s-s-i-s-t.ru или вместо chronopay.com там будет указано chrono-pay.com. Но это самые простые случаи — мошенники могут использовать и другие спецсимволы, которые имитируют правильный домен платежной системы. Регистраторы, конечно, при внутреннем аудите, быстро “прибивают” такие похожие названия, но на это требуется несколько дней, за которые массированная спам-рассылка уже осуществлена и несколько сотен или тысяч пользователей “попались” на вводе реальных данных”.
В случае с юридическими лицами потенциальные атаки более выгодны куда как большим “уловом”. “Не эпидемия, но десятки инцидентов в месяц по этому направлению в правоохранительных органах фиксируются, — говорит генеральный директор компании GroupIB Илья Сачков. — Причем по ущербу они могут быть весьма значительными — в реальной практике подавляющее большинство хищений в системах ДБО находится в районе 250 тыс. руб. Хотя, случаи с 500 тыс. — 1 млн. долл. тоже имеют место быть”.
В подавляющем числе случаев хищения денег организуются с помощью несанкционированного использования даже неизвлекаемых секретных ключей при онлайновых атаках (когда USB-токен установлен в рабочем компьютере). Наибольшее число проблем случается в том случае, когда бухгалтерский компьютер не только постоянно оснащен однажды установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в “спящий режим”, но, между тем, к каналу доступа в Интернет все равно подключен.
Первые массовые инциденты атак в режиме online на пользователей ДБО стали проявляться с начала этого года. Проникающие на компьютер вирусы выделяют период перерыва в работе системы ДБО (к примеру, обед у персонала, работа с внутренней документацией) и, после “привыкания” к установленному на компьютере жертвы клиентскому ПО и считывания основных параметров проведения подобных операций, начинают создавать свои платежки для отправки в банк.
“Обычно это вирусы-троянцы с функцией удаленного доступа к консоли ДБО. На компьютер пользователя сначала проникает загрузчик, который после “укоренения” на компьютере-“жертве” и детектирования компании-разработчика клиентского модуля ДБО, загружает на машину дополнения для работы именно с этой версией системы”, — отмечает Илья Сачков. Поскольку они не выходят в “открытый” Интернет, антивирусы часто их не отслеживают. Правда, сами трояны такого типа — поделки конструкторов, которыми кишит Интернет. Сами конструкторы эти сделаны хорошо, добротно. А вот качество вредоносного ПО, которое они производят, сильно зависит от квалификации пользователей — от уровня “студенческих поделок” до качественных экземпляров, пригодных для целевых атак.
Еще одно из “изобретений” злоумышленников — перехват команд на запрос электронной цифровой подписи (ЭЦП) с USB-портов компьютера в сочетании с туннелированием трафика с хоста злоумышленника через компьютер клиента сразу до банковского сервера (чтобы IP-адрес отправителя был клиентский). Таким образом, во время сеанса работы с ДБО, клиент фактически использует свой компьютер “за компанию” с мошенником, который в удаленном режиме работает с его системой ДБО “как у себя дома”. Соответственно, оператор бухгалтерского компьютера может банально не уследить за формированием “левых” платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих платежей.
Правда, для защиты клиентов от новых вирусных угроз банк тоже может улучшить свою систему безопасности. К примеру, можно настроить индивидуально по каждому юридическому лицу или ИЧП пороговую сумму для платежки, при превышении которой помимо стандартной ЭЦП потребуется дополнительное подтверждение по авторизованному каналу связи. К примеру, с использованием OTP-токенов или одноразовых паролей через SMS либо, как вариант, голосом по определенному номеру мобильного телефона (причем, подобный разговор должен записываться).
Угрозы для “частников”
Давно известно, что самый главный момент в безопасности “пластика” — не выпускать карту из поля своего зрения при осуществлении безналичного платежа. В большинстве иностранных торговых точек, где есть стационарные кассы, кассиру в принципе запрещено дотрагиваться до пластиковых карт покупателей — они сами ставят их в гнездо ридера, вводят PIN-код и подтверждают его нажатием клавиши OK. В России, конечно, это правило совершенно не соблюдается. А между тем для похищения данных можно использовать специальные миниатюрные считыватели с памятью. Достаточно провести там пластиковой картой и основные данные будут готовы для записи на “дамп” — чистую полоску для создания карты-дубликата. Правда, этот вариант не пройдет, если карта чиповая: специальный защитный элемент, размещенный в такой карте, так просто не скопировать. Но по статистике ЦБ РФ в России чиповых карт не более 12%. Так что это вопрос к банкам — готовы ли они выпускать более защищенные, но и более дорогие карты.
Еще одна угроза для пользователей в офлайне — это весьма распространенные скиммеры, считывающие данные карт в банкоматах, которые бывают нескольких основных видов. Все скиммеры, по данным правоохранительных органов, заказываются и изготавливаются в столице с использованием индивидуальных особенностей того или иного типа банкоматов. “Установка такого устройства, которое включает в себя считыватель магнитной полосы карты и специальную накладку на клавиатуру, чтобы получить PIN-код, занимает всего несколько минут: такие “специалисты” обычно работают парами. Один ставит устройство, второй — прикрывает напарника. Причем даже камеры, установленные в помещениях банков, не помогают — их разрешающая способность невелика, достаточно одеть на голову кепку с длинным козырьком или капюшон и опознать преступника будет сложно”, — констатирует Сергей Иванов.
По данным правоохранительных органов, обычно скиммер, несмотря на стоимость в несколько тысяч долларов, “живет” несколько часов, их обычно ставят с 8 до 10 утра и с 5 до 7 часов вечера, стараясь угадать пик снятия наличных. Разумеется, чаще всего “атакуются” банкоматы, которые стоят в бойких местах и где велика вероятность “подцепить” данные иностранных пользователей с большим остатком на карте. Кроме того, наибольшая вероятность “нарваться” на такие устройства — в центре, аэропортах, рядом с вокзалами и в крупных торговых центрах столицы. Территориально — восток и северо-восток столицы. Причем часто за скиммерами никто не приходит — с помощью мобильного модема он передает данные о картах на ноутбук киберпреступников в режиме online.
Вдобавок, основные проблемы, поджидающие самого обычного пользователя в Сети — хищение данных его пластиковой карты. Типичная проблема при платеже через Интернет — попытка перехвата данных во время осуществления транзакции или похищение информации из существующей базы данных. Причем взломы баз данных магазинов — это только часть проблемы. Дело в том, что крупные европейские и американские online-магазины (к примеру, всем известный iTunes) часто не используют для проведения платежей никакой сторонний процессинг, который мог бы принять данные о платеже и надежно защитить информацию кардхолдеров (яркое исключение в этом случае — PayPal, который и выполняет роль “прокладки” для повышения безопасности платежей). Поэтому, осуществляя транзакцию впервые, клиент просто не знает как будет выглядеть интерфейс оплаты. Поэтому наиболее распространенный вариант мошенничества, с которым сталкивается пользователь — это попытка перенаправить его на фишинговую страницу для совершения платежа. Используя вирусы, фишинговые ссылки в почтовом, ICQ-спаме и рассылках с помощью социальных сетей.
Защити себя сам
Однако обеспечить свою безопасность пользователь все-таки может, соблюдая нехитрые правила. Они если не полностью предотвратят шансы хищения средств (никогда не стоит списывать со счетов инсайдеров в самом банке), то как минимум серьезно снизят шансы мошенника на успех его операции. “Самый простой и доступный вариант защиты — это установка SMS-уведомления о всех произведенных транзакциях. Стоит эта услуга редко больше чем 30 руб. в месяц и в режиме online позволяет узнавать о тратах и зачислениях на пластиковую карту. Кроме того, нелишним будет выделить для интернет-покупок специальную виртуальную пластиковую карту, деньги на которые через интернет-банк можно зачислять порциями — ровно столько, сколько необходимо для той или иной покупки”, — говорит Сергей Иванов. Виртуальная карта стоит от 150—250 руб. за каждые полгода обслуживания, а сервис интернет-банка от 300 руб. в год, но это вполне разумная плата за безопасность в Сети.
Еще один вариант защиты — минимизировать остаток на своей основной карте, данные которой “засвечиваются” в офлайновых магазинах и виртуальных торговых точках. То есть там точно не должны храниться большие суммы. Вдобавок, стоит убедится, что ваша карта не предполагает “ухода в минус”, как это случается со многими кредитными продуктами. Ведь тогда, даже при минимальном остатке на счету, есть риск получить вполне солидную задолженность, по которой еще придется выплачивать проценты.
Кроме того, идеальным вариантом для интернет-платежей будет вариант, при котором банк-эмитент вашей карты поддерживает защищенную технологию передачи пользовательских данных 3D Secure — с ее помощью риск неавторизованной оплаты через Сеть существенно снижается. Один небольшой пример — можно настроить параметры платежа так, чтобы каждый раз при совершении транзакции платежный шлюз банка требовал от пользователя одноразовый пароль, который создается и высылается ему отдельно для каждой покупки. Обычно это увеличивает время осуществления платежа на полторы-две минуты, но степень надежности повышается многократно — ведь номер телефона задается в банке при оформлении карты и изменить его быстро не получится. Уже сейчас эту технологию поддерживают такие финансово-кредитные учреждения, как “Банк Авангард”, “Банк Москвы”, “Мастер-банк”, “Сбербанк”, “Альфа-банк”, “Сити-банк”, “Русский стандарт”, “Раффайзенбанк”.
Даже если деньги с карты похищены, вернуть их все-таки возможно: только в том случае, если вы точно уверены в том, что это не случайность и картой не воспользовался кто-то из ваших родных (такие случаи регулярно происходят). В таком случае необходимо немедленно обращаться одновременно в милицию и в банк с заявлением о том, что какую-то конкретную транзакцию вы не совершали. Причем, два адресата для одной жалобы (в идеале можно добавить еще и территориальное подразделение ЦБ РФ) нужны для ускорения процесса. В таком случае, для милиции из банка достаточно взять только выписку о состоянии счета и о движении денег на нем. Хотя для подачи заявления подойдет и обычная выписка по карте, которую может предоставить банкомат.
Здесь главное не потерять время — банк можно уведомлять о спорных транзакциях во вторую очередь. Но карту заблокировать через call-центр финансово-кредитного учреждения все-таки стоит. Если выяснится, что вы стали жертвой кражи персональных данных по вине любого другого или вашего банка (к примеру, “напоролись” на скиммер в банкомате), деньги вам вернут за счет финансово-кредитного учреждения, который владеет конкретным банкоматом. Правда, будет это не так быстро, как бы хотелось — процесс займет несколько недель. Если же данные карты были украдены в каком-либо интернет-магазине и использовались для покупки товаров с доставкой, все еще проще — у вас будет как минимум несколько дней для того, чтобы отозвать транзакцию. Дело в том, что мгновенно деньги с карты при покупках через Сеть никогда не списываются — они блокируются на карте в ожидании подтверждения от продавца о том, что каждая конкретная транзакция была законной. Главное, все переговоры с банком и правоохранительными органами вести исключительно письменно — телефонного общения в таких случаях недостаточно.
Меры безопасности для юрлиц тоже существуют. Надо понимать, что эпоха хранения секретных ключей ЭЦП в файлах, размещенных к тому же на жестком диске компьютера (типичная реакция бухгалтера по этому поводу — “мне так проще”) уже закончилась. И если такое решение предлагается — от него стоит отказаться. Просто потому, что “сломать” его очень просто — форматы наиболее распространенных систем на рынке ДБО известны, а ключи находятся вирусом простым поиском по ресурсам компьютера быстро. И так же быстро неправомерно используются. В настоящее время наиболее адекватным вариантом можно считать только устройства с неизвлекаемым ключами. В идеале это будет смарт-карта со специальным ридером, который подключен через USB-порт с физической фиксацией выключения (может быть переходник с кнопкой).
Хороший вариант для безопасности банковских платежей с высокой долей безопасности — использование отдельного мобильного ПК с легальной операционной системой, установленными обновлениями, который будет работать в ограниченном режиме — только для банковских платежей. Все дополнительное ПО кроме брандмауэра и антивируса оттуда удалено, а физический доступ в нему ограничен: он достается из сейфа только на время работы. Наилучшей ОС для такого решения будет все-таки Linux (в этой среде гораздо меньше вирусов) или Windows 7 (здесь больше встроенных систем безопасности). Кроме того, корпоративный брандмауэр (помимо личного) должен разрешать этому компьютеру выход исключительно на банковские точки доступа — в заранее прописанные и разрешенные системы электронного банкинга. И только в рабочее время.
И не стоит пренебрегать качественными системами безопасности — к примеру, использовать две ЭЦП под более-менее значимой по сумме платежкой. В такой схеме первая принадлежит директору (или специальному финансовому контролеру), вторая — главному бухгалтеру. Желательно, чтобы эти люди еще и не сидели рядом в одном помещении. Секретные ключи этих ЭЦП должны быть “жестко привязаны” к разным смарт-картам или USB-токенам, которые не могут работать на одном компьютере — только на строго ограниченном числе рабочих станций (в идеале — каждый на своем ПК). Кроме того, на отправку более-менее крупных сумм желательно установить механизм оперативного информирования через SMS. Причем информация должна быть обо всех стадиях прохождения особенных или крупных платежей — платежка создана, подписана и отправлена в банк — все это должно отражаться с помощью текстовых сообщений без возможности их отключения. Здесь как с пластиковыми картами — есть шанс оперативно среагировать на кражу.